package com.crazy.security;

import java.util.Collection;

import javax.inject.Inject;
import javax.inject.Named;

import org.springframework.context.support.MessageSourceAccessor;
import org.springframework.security.access.AccessDecisionManager;
import org.springframework.security.access.AccessDeniedException;
import org.springframework.security.access.ConfigAttribute;
import org.springframework.security.authentication.InsufficientAuthenticationException;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.GrantedAuthority;

/**
 * AccessdecisionManager在Spring security中是很重要的。
 * 在验证部分简略提过了，所有的Authentication实现需要保存在一个GrantedAuthority对象数组中。 这就是赋予给主体的权限。
 * GrantedAuthority对象通过AuthenticationManager 保存到
 * Authentication对象里，然后从AccessDecisionManager读出来，进行授权判断。 Spring
 * Security提供了一些拦截器，来控制对安全对象的访问权限，例如方法调用或web请求。
 * 一个是否允许执行调用的预调用决定，是由AccessDecisionManager实现的。 这个 AccessDecisionManager
 * 被AbstractSecurityInterceptor调用， 它用来作最终访问控制的决定。
 * 这个AccessDecisionManager接口包含三个方法： <br>
 * void decide(Authentication authentication,Object
 * secureObject,List<ConfigAttribute> config) throws AccessDeniedException; <br>
 * boolean supports(ConfigAttribute attribute); <br>
 * boolean supports(Class clazz);<br>
 * 从第一个方法可以看出来，AccessDecisionManager使用方法参数传递所有信息，这好像在认证评估时进行决定。
 * 特别是，在真实的安全方法期望调用的时候，传递安全Object启用那些参数。 比如，让我们假设安全对象是一个MethodInvocation。
 * 很容易为任何Customer参数查询MethodInvocation，
 * 然后在AccessDecisionManager里实现一些有序的安全逻辑，来确认主体是否允许在那个客户上操作。
 * 如果访问被拒绝，实现将抛出一个AccessDeniedException异常。 这个 supports(ConfigAttribute)
 * 方法在启动的时候被 AbstractSecurityInterceptor调用，来决定AccessDecisionManager
 * 是否可以执行传递ConfigAttribute。 supports(Class)方法被安全拦截器实现调用，
 * 包含安全拦截器将显示的AccessDecisionManager支持安全对象的类型。
 * 
 * @author zhang weiwei
 * @since 2013-9-6下午3:00:42
 */
@Named("accessDecisionManager")
public class MyAccessDecisionManager implements AccessDecisionManager {
	private static String MSG_KEY = "AbstractAccessDecisionManager.accessDenied";
	@Inject
	private MessageSourceAccessor accessor;

	@Override
	public void decide(Authentication authentication, Object object,
			Collection<ConfigAttribute> attributes)
			throws AccessDeniedException, InsufficientAuthenticationException {
		for (ConfigAttribute attribute : attributes) {
			String attr = attribute.getAttribute();
			Collection<? extends GrantedAuthority> auths = authentication
					.getAuthorities();
			for (GrantedAuthority authority : auths) {
				String auth = authority.getAuthority();
				if (attr.equals(auth)) {
					return;
				}
			}
		}
		String msg = this.accessor.getMessage(MSG_KEY);
		throw new AccessDeniedException(msg);
	}

	@Override
	public boolean supports(ConfigAttribute arg0) {
		return true;
	}

	@Override
	public boolean supports(Class<?> arg0) {
		return true;
	}
}
